Sono passati sei anni da quando il famigerato attacco cyber NotPetya ha generato onde d’urto all’interno del panorama della cyber security. Inizialmente mascherato come un ransomware, NotPetya ha rivelato presto la sua natura distruttiva, diffondendo danni ad aziende e governi in tutto il mondo e creando perdite per miliardi di dollari.
Sei anni dopo, l’impatto dell’attacco NotPetya si sente ancora e la lezione appresa da questo episodio continua a influenzare il modo in cui ci avviciniamo alla cyber security.
Indice degli argomenti
La storia di NotPetya
NotPetya è apparso per la prima volta a giugno del 2017, quando si è diffuso rapidamente in diversi paesi, indirizzandosi prima di tutto verso aziende ucraine.
Tuttavia, è apparso subito evidente che questa minaccia informatica non fosse limitata a una regione specifica, perché ha infettato rapidamente sistemi in tutto il mondo.
Il malware distruttivo che inizialmente si presentava come un attacco ransomware, con vittime che ricevevano una nota per il riscatto con una richiesta di pagamento in Bitcoin per sbloccare i file criptati, ha mostrato presto che la vera intenzione di NotPetya non fosse un guadagno economico ma piuttosto la diffusione di disservizi e distruzione.
L’analisi tecnica di NotPetya
NotPetya ha impiegato una combinazione di tecniche avanzate e ha sfruttato vulnerabilità note per propagarsi e creare scompiglio.
Alla base, l’attacco ha contato sull’EternalBlue exploit (CVE-2017-0144) che ha fatto leva su una vulnerabilità nel protocollo SMB dei sistemi Windows. Questo exploit, originariamente sviluppato dalla National Security Agency (NSA) e successivamente fatto trapelare da un gruppo di hacker chiamato Shadow Brokers, permetteva l’esecuzione di codice remoto senza interazione da parte dell’utente.
Appena infettato un sistema, NotPetya impiegherebbe un processo infettivo a più fasi. Sfrutterebbe la vulnerabilità EternalBlue per ottenere un accesso iniziale per poi usare tecniche di furto della credenziale attraverso strumenti come Mimikatz per accrescere i privilegi e muoversi lateralmente nella rete. Il malware sfrutterebbe anche strumenti amministrativi legittimi, tra cui PsExec, per propagarsi attraverso sistemi interconnessi.
Il primo obiettivo di NotPetya era di interrompere le operazioni e distruggere dati piuttosto che guadagnare economicamente.
Una volta entrato nella rete, il malware scriverebbe sopra il master boot record (MBR) e la master file table (MFT), rendendo i sistemi interessati non utilizzabili per poi mostrare una richiesta di riscatto attraverso un pagamento in Bitcoin per la chiave di decrittazione.
L’indirizzo e-mail degli aggressori era stato chiuso, rendendo impossibile per le vittime comunicare e recuperare i dati.
È bene evidenziare che la patch di sicurezza per EternalBlue era stata rilasciata diversi mesi prima che l’attacco avvenisse. Le aziende che avevano diligentemente applicato gli aggiornamenti di sicurezza disponibili nei loro sistemi avrebbero ridotto significativamente la loro vulnerabilità a questo specifico attacco.
Calcolare l’impatto
L’impatto di NotPetya si è sentito in tutto il mondo, con aziende e governi di più di 60 paesi interessati. Enti globali hanno affrontato perdite finanziarie significative, con il gigante delle spedizioni Maersk che ha contato danni per 300 milioni di dollari.
Anche infrastrutture critiche, esemplificato dall’impianto di energia nucleare di Chernobyl, hanno subito interruzioni, sottolineando le conseguenze di vasta scala di questo assalto cyber.
Una delle sfide evidenziate dall’attacco NotPetya, è la difficoltà nel distinguere gli attacchi cyber come atti di guerra.
In un caso correlato, il gruppo assicurativo Zurich si è rifiutato di pagare una richiesta di risarcimento da 100 milioni di dollari per danni causati dall’attacco NotPetya, sostenendo che il ransomware era un atto di guerra, di conseguenza non coperto dalla polizza. In ogni caso, un giudice ha respinto questa argomentazione, dichiarando che la clausola che protegge Zurich dal pagare per perdite causate da azioni ostili o militari non si applicava all’attacco cyber NotPetya.
Sei anni dopo, ancora eterno
Un’analisi realizzata con l’utilizzo dell’Armis Collective Asset Intelligence indica che il numero di computer ancora vulnerabile a EternalBlue oggi è estremamente basso. Questo non sorprende se si considera che è una vulnerabilità di Windows e la natura pubblica di NotPetya.
Tuttavia, circa il 74% delle aziende oggi ha almeno un dispositivo vulnerabile nella loro rete. Con tentativi di exploit ancora in corso (Armis rileva tra poche centinaia a poche migliaia di tentativi di exploit di EternalBlue ogni giorno), usare la patch per questa vulnerabilità continua a essere importante.
Gli effetti trasformativi sulla cyberwarfare
NotPetya ha segnato un importante punto di svolta nel settore della cyberwarfare, riformulando l’idea degli attacchi informatici distruttivi.
Ha sbiadito le linee tra ransomware tradizionale e operazioni informatiche sponsorizzate dallo stato, perché l’obiettivo principale non era il guadagno economico ma l’interruzione di infrastrutture critiche e la distruzione di dati.
Questo attacco ha dimostrato il potenziale per un malware altamente distruttivo di causare interruzioni economiche e operative diffuse, ponendo rischi significativi per la sicurezza nazionale e la stabilità globale.
NotPetya: la lezione appresa
Quello che è successo con NotPetya offre importanti lezioni che persistono con noi oggi. Prima tra loro è il valore di una gestione efficace delle vulnerabilità.
NotPetya ha sfruttato una vulnerabilità nota, enfatizzando l’importanza di eseguire subito l’applicazione delle patch di sicurezza e fare valutazioni regolari sulle vulnerabilità. Una mitigazione proattiva di vulnerabilità note può significativamente ridurre il rischio di diventare vittime di simili attacchi devastanti.
Un’altra lezione importante è il potere della visibilità degli asset. Mantenere un archivio aggiornato dei sistemi in rete permette alle aziende di identificare potenziali punti deboli e prendere misure proattive per rinforzare le loro difese.
Con una visione chiara del proprio ecosistema digitale, le aziende possono rispondere in maniera rapida ed efficace alle minacce emergenti.
Infine, la segmentazione della rete gioca un ruolo essenziale nel contenere l’impatto degli attacchi cyber. Attraverso la divisione delle reti in segmenti isolati, le aziende possono limitare il movimento laterale di malware e prevenire la diffusione di danni associati ad attacchi simili a NotPetya.
L’attacco cyber NotPetya resta un duro monito sull’evoluzione delle minacce che si affrontano nell’era digitale. Sei anni e l’impatto e le lezioni imparate dal devastante attacco continuano a farsi sentire.
Le aziende devono investire in solide pratiche di cyber sicurezza, tra cui visibilità degli asset, gestione delle vulnerabilità e segmentazione della rete.
Attraverso l’adozione di un approccio proattivo e completo verso la cyber sicurezza, le aziende possono rafforzare le loro difese e mitigare i rischi posti da avversari informatici sempre più sofisticati.